Le Maroc s’est doté d’un cadre dédié dès 2009. La loi n°09-08 du 18 février 2009 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel a institué la Commission nationale de contrôle de la protection des données à caractère personnel. Sur son site internet, la CNDP rappelle qu’elle est l’autorité chargée d’informer, de conseiller, de contrôler et, le cas échéant, de sanctionner en matière de protection des données personnelles.
Quinze ans après sa création, l’échelle a changé. La donnée a cessé d’être cantonnée aux fichiers ou aux seules formalités déclaratives. Elle traverse désormais les services publics, les usages commerciaux, les plateformes, les dispositifs de paiement, les outils d’intelligence artificielle et les flux internationaux. Dans ce contexte, la question centrale n’est plus seulement de protéger des informations. Il faut aussi savoir dans quel cadre elles circulent, qui en fixe les règles et comment un pays conserve une capacité de décision.
La souveraineté ne se réduit plus au territoire
“Le concept de souveraineté numérique ne peut être défini avec les concepts du passé. Il ne s’agit pas d’enfermer ses données dans un coffre-fort ou limiter leur circulation”
C’est sur ce point qu’Omar Seghrouchni déplace le débat. Le président de la CNDP récuse une lecture strictement territoriale de la souveraineté numérique. “Le concept de souveraineté numérique ne peut être défini avec les concepts du passé. Il ne s’agit pas d’enfermer ses données dans un coffre-fort ou limiter leur circulation.” Il ajoute : “La société du digital redéfinit le concept de frontière. Il ne faut pas rester sur le seul concept de frontière terrestre, mais considérer le concept de frontière d’influence.”
Son propos ne consiste pas à nier la circulation mondiale des données. Il invite plutôt à en changer la lecture. Ce qui compte, dans cette perspective, n’est pas seulement l’endroit où les données se trouvent. C’est la capacité d’un pays à en gouverner les usages, à fixer ses propres repères et à ne pas subir passivement des normes conçues ailleurs. Omar Seghrouchni le dit en ces termes : la souveraineté numérique “ne peut se limiter à sa dimension territoriale, elle doit se transformer en souveraineté de gouvernance”.
Le Maroc dans une logique d’anticipation
“Il ne s’agit pas de suivre exactement le chemin et les étapes des pays déjà développés. Il s’agit d’anticiper et d’adapter”
Pour situer le Maroc dans cette séquence, Omar Seghrouchni écarte l’opposition facile entre avance et retard. “Le Maroc a l’avantage de ne pas s’enfermer dans un modèle linéaire de développement à la Rostow.” À ses yeux, le Royaume n’a pas à reproduire, étape par étape, la trajectoire des pays déjà développés. “Il ne s’agit pas de suivre exactement le chemin et les étapes des pays déjà développés. Il s’agit d’anticiper et d’adapter.”
Il rattache d’ailleurs cette approche à une réflexion plus ancienne, en citant les travaux de Maati Souhail et ceux du groupe de travail pluridisciplinaire animé par Ahmed Hakimi au sein de l’Union nationale des ingénieurs marocains au début des années 1980. La question de la trajectoire marocaine ne naît donc pas avec l’IA ni avec les plateformes, mais s’inscrit dans une recherche plus ancienne sur la manière de moderniser sans calquer mécaniquement des modèles extérieurs.
La formule par laquelle il résume la position du Royaume est explicite : “Selon les pessimistes, le Maroc est en retard. Selon les optimistes, le Maroc est en avance. Selon les objectifs, le Maroc est en train d’innover, selon un modèle qui lui est propre, pour répondre aux besoins de ses citoyens.” Ce que dit cette phrase, en creux, c’est que le Maroc a un cadre, une autorité et une expérience accumulée. Mais le chantier reste ouvert.
Le rôle de la CNDP change d’échelle
Dans cette séquence, la CNDP n’exerce plus seulement une fonction de contrôle au sens étroit. Son rôle s’étend à la veille, à la sensibilisation, au conseil et à l’accompagnement. Ses missions officielles couvrent l’information et la sensibilisation, le conseil et la proposition, la protection, le contrôle et l’investigation, ainsi que la veille juridique et technologique.
Cette montée en puissance s’observe dans les sujets émergents. Le 18 mars 2025, la CNDP a rappelé, dans un communiqué officiel, que les traitements d’intelligence artificielle utilisant des données à caractère personnel relèvent de la loi 09-08.
Elle y souligne des exigences précises telles que l’intégrité, la transparence, la loyauté, la lisibilité et les voies de recours en cas de décisions automatiques. Le même texte annonce l’ouverture de travaux en vue d’une délibération, après un benchmark international et des consultations avec des autorités étrangères, puis des auditions auprès d’experts, d’organisations professionnelles, d’institutions et d’associations de la société civile.
La CNDP intervient donc à plusieurs niveaux. Elle contrôle les traitements, suit l’évolution des usages et travaille à outiller les acteurs pour que la règle ne reste pas un texte abstrait. C’est ce déplacement qui explique sa place croissante dans l’écosystème numérique marocain.
Ouverture, attractivité, protection : quel équilibre ?
Sur la relation entre ouverture numérique, attractivité économique et protection des données, Omar Seghrouchni récuse l’idée d’un arbitrage impossible. “Pouvez-vous conduire une voiture en respectant le code de la route ? Pouvez-vous conduire un véhicule sans écraser les passants ? J’espère que oui.” Ainsi, pour le président du CNDP, l’ouverture ne dispense pas de règles. Elle les rend plus nécessaires.
Il renvoie ici au concept de Privacy by Design, formulé au Canada au début des années 1990, avec l’idée d’intégrer la protection des données dès la conception des systèmes, et non après coup. Dans cette approche, la circulation des données, le développement des services numériques et l’attractivité économique peuvent avancer ensemble, à condition que le cadre soit pensé en amont.
Le président de la CNDP ajoute toutefois une réserve de fond : “Il faut éviter de se laisser influencer par les seules logiques commerciales et prendre en compte les valeurs morales que notre société souhaite consolider.” Le sujet ne relève donc pas seulement de la conformité technique. Il touche aussi aux choix collectifs qui encadrent le développement numérique.
Des défis très concrets
““Le risque est de vivre dans un bidonville digital. Il faut veiller à choisir la bonne architecture pour urbaniser notre société digitale”
La formule qu’emploie Omar Seghrouchni pour décrire le principal risque est parlante : “Le risque est de vivre dans un bidonville digital. Il faut veiller à choisir la bonne architecture pour urbaniser notre société digitale. Sinon, on risque de vivre dans un désordre applicatif qui sera préjudiciable pour notre vivre ensemble.”
Dans cette perspective, la protection des données ne relève plus du seul juridique. Omar Seghrouchni la décrit comme “un enjeu multi-dimensionnel” qui touche à “la gouvernance”, à “la sécurité et la stabilité”, au “bien-être sociétal”, à “la compétitivité économique” et à “l’innovation”. La question de la donnée se situe donc au croisement de plusieurs sujets, à savoir la robustesse des systèmes, la confiance des utilisateurs, la crédibilité des organisations et l’attractivité économique.
Un enjeu qui dépasse les seuls grands acteurs
Cette question n’implique pas seulement les grandes plateformes, les administrations ou les entreprises les plus structurées. Lahcen Madi, membre de la CNDP, rappelle que les données à caractère personnel sont devenues “l’une des ressources immatérielles les plus importantes à l’ère numérique moderne”.
Il souligne que les associations s’en servent pour “se faire connaître, planifier, assurer le suivi, communiquer et évaluer l’impact social de leurs projets”. Mais il note aussi que cet usage croissant s’accompagne d’une difficulté très concrète, celle d’“une faible connaissance de la nature de ces données et du rôle de la CNDP”.
Son propos élargit utilement le sujet. En effet, la gouvernance des données concerne aussi des acteurs de proximité, souvent moins outillés, mais eux aussi exposés aux obligations de protection. C’est pourquoi il plaide pour un effort de formation et de sensibilisation.
Pour ce faire, il propose un programme articulé autour de plusieurs modules complémentaires : “une introduction aux transformations technologiques actuelles, notamment la numérisation et l’intelligence artificielle”, “la définition des données à caractère personnel et l’importance de leur protection”, le cadre juridique applicable, les attributions de la CNDP, les mesures concrètes que les associations doivent adopter pour protéger les données de leurs membres, ainsi que les bonnes pratiques individuelles.
RGPD, DSA : des règles plus dures, des tensions plus nettes
Le cadre mondial autour de la protection s’est durci ces dernières années. Dans l’Union européenne, le RGPD s’applique depuis le 25 mai 2018. Il encadre la collecte, l’usage et surtout le transfert des données personnelles hors de l’Union, avec des sanctions pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial. En 2024, le Comité européen de la protection des données a encore adopté 20 avis au titre de l’article 64 du RGPD, signe d’un effort continu d’harmonisation entre autorités nationales.
Le Digital Services Act (DSA) a ajouté une autre couche de contrôle. Depuis le 17 février 2024, les très grandes plateformes et moteurs de recherche dépassant 45 millions d’utilisateurs mensuels dans l’UE sont soumis aux règles les plus strictes. La page de la Commission européenne, mise à jour au 1er avril 2026, recense 21 acteurs désignés ou supervisés dans ce cadre, avec déjà plusieurs procédures ouvertes, dont une contre AliExpress en mars 2024 et des conclusions préliminaires en juin 2025.
